Umgang in Matomo mit internen Mitarbeiterzugriffen auf die Homepage

Gelegentlich werde ich gefragt, wie die Zugriffe von Mitarbeitern und Mitarbeiterinnen des eigenen Unternehmens in den Statistiken der Unternehmens-Homepage-Aufrufe ausgewertet werden können.

Diese Frage klingt einfacher als sie in der datenschutzgetriebenen Praxis dann tatsächlich ist. Das liegt daran, dass die Antworten auf diese Frage mit IP-Adressen oder Cookies zu tun haben, die datenschutzrechtlich zu den „sensiblen“ Daten zu zählen sind und deren Speicherung nicht ohne Einwilligung erfolgen darf. Dies gilt zumindestens für die externen Besucher, die bei einer Homepage „natürlicherweise“ mit betrachtet werden müssen, auch wenn die Frage sich eigentlich auf interne Besucher bezog.

Ich möchte nachfolgend einige Ansätze vorstellen, die als Anregung dienen sollen. Wenn Sie konkrete Unterstützung benötigen, können Sie sich gerne an mich wenden.

Grundsätzlich muss man zwei Anforderungen unterscheiden:

  1. Zum einen den prinzipiellen Ausschluss interner Zugriffe in der Webstatistik sowie
  2. zum zweiten den expliziten Wunsch nach Erfassung mit der Möglichkeit zur Unterscheidung der Zugriffe interner Mitarbeiter von externen Besuchern.

Ansätze zum Ausschluss interner Zugriffe

Ausschluss interner Zugriffe auf Basis der IP-Adresse

Wenn interne Zugriffe auf die Homepage nicht erfasst werden sollen, lässt sich diese Anforderung mit Matomo im Standard leicht umsetzen. Die IP-Adresse oder Adressen-Bereiche, mit denen Mitarbeiter aus dem internen Netzwerk die Homepage (genauergesagt den Matomo-Server) aufrufen, lässt sich in Matomo hinterlegen und somit von der Erfassung als Besuche in den Webstatistiken blockieren. Das bedeutet also, dass der Mitarbeiterzugriff in Matomo schon ankommt, dort jedoch vor der Speicherung verworfen wird.

Die Hinterlegung dieser IP-Adresse(n) kann an zwei Stellen geschehen:

  • Global für alle getrackten Webseiten
  • Einzeln je getrackter Webseite

Global eine IP-Adresse zu hinterlegen, macht dann Sinn, wenn man nur eine Webseite trackt oder die Zugriffe in allen getrackten Webseiten ausschließen möchte. Einzeln je Webseite die Hinterlegung zu machen, ist dann sinnvoll, wenn man unterschiedliche Webseiten trackt und beispielsweise die Testumgebung der Unternehmens-Homepage nicht ausschließen möchte, weil man als interner Mitarbeiter die Tracking-Erfassung in Matomo testen möchte.

Hinterlegung einer einzelnen IP-Adresse oder ganzer Bereiche in den globalen Webseiten-Einstellungen von Matomo.

 

Die Variante über die IP-Adresse ist die „Holzhammer-Methode“.

Nachteil in der Praxis ist meist, dass der Webanalyst, der mit Matomo arbeitet oder gar den Matomo-Tagmanager einsetzt, seine eigenen Zugriffe ebenfalls nicht mehr sieht und bei Problemen im Homepage-Tracking nichts nachvollziehen kann.

Zweiter (umgekehrter) Nachteil ist, dass beim Arbeiten außerhalb des Büros (Homeoffice, Mobil) , je nach Einrichtung des Arbeitsgerätes, ob dieses beim Internetzugriff über das Unternehmensnetzwerk oder über den privaten Provider geht, die IP-Adresse im letzteren Fall eine andere, stetig wechselnde sein kann und diese dann nicht ausgeschlossen wird und also getrackt wird. Dies trifft meist auch auf Kleinunternehmen zu, die keine feste IP-Adresse besitzen, und auf diese Art ihre Homepage-Zugriffe nicht ausschließen können.

Ausschluss interner Zugriffe über persönliche Einstellungen anhand von Opt-out-Cookies

Diese Variante bietet je Mitarbeiter die Möglichkeit ihre Zugriffe nicht erfassen zu lassen. Dabei wird ein Opt-out Cookie von Matomo im Browser abgelegt, so dass Matomo die Zugriffe bereits im Browser ignoriert.

Man kann einerseits dazu die Opt-out-Möglichkeit der Homepage nutzen, die von Datenschutzgesetzen für externe Besucher vorgeschrieben ist und sich daher in der Regel in der Datenschutzerklärung befindet. Dort kann natürlich auch der interne Mitarbeiter ein Opt-out aktivieren. Hat man als Mitarbeiter Zugang zu Matomo und kann sich dort einloggen, kann dieser Opt-out auch innerhalb Matomos erfolgen.

Erfassung des Zugriffs durch Opt-out in der Datenschutzerklärung ausschließen

Opt-out in Matomo im Einstellungsbereich unter persönliche Einstellungen (Matomo-Login erforderlich)

 

Da dieser Ansatz von jedem Mitarbeiter einzeln praktiziert werden muss, ist er lediglich für Unternehmen mit wenigen Mitarbeitern praktikabel. Auch muss bedacht werden, dass beim Wechsel des Browsers dieser Schritt wiederholt werden muss. Allerdings ist er eine Lösungsmöglichkeit, wenn man bspw. als Kleinunternehmer keine feste IP-Adresse besitzt (siehe oben) und diese nicht hinterlegen kann.

Ausschluss interner Zugriffe durch Browser-Konfiguration

Bei dieser Variante wird auf den (Standard-) Mechanismus von Matomo zurückgegriffen, dass im privaten / Inkognito-Modus surfende Browser-Benutzer anhand der dann aktiven Browser-Einstellung  „Do-not-track“ nicht getrackt werden.

Es ist denkbar, dass ein Standard-Browser (bspw. Mozilla Firefox) vom IT-Service-Bereich des Unternehmens so ausgerollt wird, dass die „Do-not-track“-Einstellung immer aktiviert ist.

Dies würde die Nachteile wechselnder IP-Adressen bspw. im Homeoffice oder das jeder einen Opt-out durchführen muss, beheben.

Zum Testen muss der Matomo-Webanalyst dann auf einen anderen Browser zurückgreifen, der diese Einstellung nicht hat.

Erfassung der internen Zugriffe für CMS-Redakteure ausschließen

Das Content-Management-System der Homepage, in deren Seiten Matomo eingebettet ist, könnte so konfiguriert werden, dass im Fall eines gerade eingeloggten CMS-Redakteurs der Matomo-Trackingcode nicht enthalten oder anders konfiguriert ist.

Dieser Ansatz lässt nicht alle internen Zugriffe aus den Webstatistiken heraus, jedoch jene von den Mitarbeitern, die besonders viel auf der Homepage unterwegs sind, weil sie deren Inhalte pflegen.

In WordPress ist das durch Einsatz des Matomo-Plugins und durch die dortigen Einstellmöglichkeiten leicht möglich. Bei anderen CMS muss dies individuell vorgenommen werden. Bei CMS, die ein getrenntes Frontend und Redaktionsbackend haben, wird der Ansatz wahrscheinlich nicht funktionieren, weil das Frontend nichts vom eingeloggten Backend-User weiß.

Matomo Unterstützung benötigt? Ich helfe Ihnen gerne.

Jetzt informieren

Ansätze zum Erkennen interner Zugriffe in Matomo

Etwas aufwendiger als der Ausschluss interner Zugriffe ist es die internen Zugriffe in Matomo zu erkennen und weiterhin Matomo datenschutzkonform ggü. den externen Besuchern zu betreiben.

Normalerweise, im theoretischen Fall eines Nicht-Datenschutz-konformen-Betriebes, würden in Matomo anhand von Segmenten die Besucher mit ihrer IP-Adresse unterschieden werden können. Man würde ein Segment anlegen, welches Berichte mit Besuchen zurückgibt, bei denen Besucher mit der internen IP-Adresse surften.

Die IP-Adresse in Matomo muss jedoch aus Datenschutzgründen, bevor sie von Matomo gespeichert wird, im Besucherprofil anonymisiert werden. Üblich ist, die letzten beiden Stellen zu entfernen. Eine Segment-Auswertung würde also nur auf der halben IP-Adresse möglich sein und keine verwertbaren Ergebnisse liefern.

Die IP-Adressen-Anonymisierung verhindert auch das einfache Auswerten von internen Zugriffen aus dem Unternehmen heraus.

 

Matomo selbst bietet in seinem Einstellungsbereich keine ausfüllbare oder anklickbare Option durch Konfiguration interne Zugriffe von externen Zugriffen später unterscheidbar zu machen und so im Besucherprofil ein Merkmal zur Auswertung zur Verfügung zu haben.

Plugin „Rer Intranet Subnetwork“

Man kann jedoch auf ein kostenloses Matomo-Plugin aus dem Marketplace zurückgreifen, welches genau diese Konfigurationsmöglichkeit anhand von hinterlegbaren internen IP-Adressen bietet.

Ein interner Besuch wird von der Erweiterung erkannt und dieser Besuch erhält eine Eigenschaft (www, Intranet), nach der sich auch mit Segmenten auswerten lässt. Die IP-Adresse wird danach nach wie vor Datenschutzkonform anonymisiert gespeichert.

Im nächsten Kapitel weiter unten zeige ich Ihnen übrigens noch ein Vorgehen ohne ein Plugin mit mehr Flexibilität.

Nach Installation des Plugins durch den Matomo-Administrator stehen im Administrationsbereich unter „System“ und „Allgemeine Einstellungen“ zwei Einstellmöglichkeiten zur Verfügung. Zum einen kann aktiviert werden, dass automatisch beim Zugriff die IP-Adresse des Besuchers mit den IP-Adressbereichen von Intranets des RFC Standards (127.0.0.1, 192.168.x.x, 172.16.x.x, 10.x.x.x.) verglichen wird. Desweiteren kann auch eine IP-Adresse (bzw. als regulärer Ausdruck auch ein Bereich) angegeben werden, mit denen Mitarbeiter, die aus dem Unternehmensnetzwerk heraus auf die Homepage zugreifen, auf Matomo zugreifen würden. Bei vielen größeren Unternehmen werden nämlich die Zugriffe auf die eigene Webseite erst „ins Internet geschickt“ und von dort dann wieder zurück auf den eigenen Server gelenkt. Daher ist es hilfreich hier auch eine separate IP-Adresse zu hinterlegen.

Einstellmöglichkeiten für interne Zugriffe in Matomo

 

Die Auswertung erfolgt in den Berichten unter einem eigenen Menüpunkt „Intranet Subnetzwerk“ (bekannt von CustomDimensions). Nach den dort gezeigten Besucher-Eigenschaften lassen sich später auch Segmente erzeugen.

Auswertung von externen und internen Zugriffen unter einem Menüpunkt im Bereich „Besuche“.

Interne Zugriffe als Segment auswerten durch das Plugin „Rer Intranet Subnetwork“

Die Bezeichnung „Intranet“ finde ich persönlich etwas irreführend. Das Intranet ist ja aus Anwendersicht in der Regel ein eigener Raum mit Informationen und Tools für Mitarbeiter. Hier ist die Begrifflichkeit jedoch als Zugriff aus dem internen Unternehmensnetzwerk zu verstehen.

Das Plugin ist für größere Unternehmen eine gute Möglichkeit interne Zugriffe zu messen und zu unterzuscheiden. Jedoch hat auch dieser Ansatz gewisse Nachteile bzw. zu beachtende Rahmenbedingungen:

  • die Einstellmöglichkeiten beziehen sich immer auf das gesamte Matomo mit allen angelegten Webseiten. Differenzierungen je nach Webseite sind nicht möglich. Gibt es dafür einen Bedarf (z.B. weil verschiedene Unternehmen auf ein Matomo zugreifen), muss man verschiedene Matomo-Server installieren.
  • Bei Zugriffen über wechselnde IP-Adressen muss regelmäßig angepasst werden oder der IP-Adressbereich sehr groß gewählt werden, was zu verfälschten Ergebnissen führen kann.
  • Homeoffice-Zugriffe von Mitarbeitern, die nicht durch das Unternehmensnetzwerk geleitet werden, werden den www-Zugriffen zugeordnet

Erkennung von Mitarbeiter-Zugriffen auch aus dem Homeoffice

Ich möchte abschließend noch einen Ansatz vorstellen, der auch Homeoffice- oder Außendienst-Zugriffe von Mitarbeitern erkennt, falls diese nicht mit der IP-Adresse des Unternehmens auf die Homepage gelangen.
Voraussetzung ist, dass mit einem Endgerät (Browser auf Laptop/Smartphone etc.) des Unternehmens auch von zu Hause oder unterwegs zugegriffen wird.

Der Ansatz geht davon aus, dass Mitarbeiterin/Mitarbeiter ihren allerersten Zugriff  auf die Homepage aus dem Unternehmensnetzwerk heraus durchführen. Bei diesem Zugriff legt die „Infrastruktur“ der Homepage einen dauerhaften Cookie im Browser von Mitarbeiterin/Mitarbeiter ab, der auch bei Zugriffen aus dem Homeoffice zuverlässig den „internen“ Besuch nachweist. Mit „Infrastruktur“ ist entweder der Webserver oder Caching-Dienst der Homepage bzw. Matomo oder auch ein vor die Homepage geschalteter Loadbalancer mit SSL-Terminierung gemeint. Diese erkennt beim Zugriff aus dem internen Netzwerk die interne IP-Adresse des Besuchers und setzt den Cookie in dessen Browser, den der Browser auch behält, wenn er von woanders die Homepage aufruft.

In der Homepage wird im Matomo-Skript oder bei Einsatz des Matomo Tag Managers innerhalb eines Tags auf das Vorhandensein des Cookies geprüft. Fehlt er, handelt es sich um einen externen Besuch. Ist er vorhanden, ist von einem internen Mitarbeiter auszugehen, egal wo er sich tatsächlich befindet.

Die Prüfung muss durch individuell erstelltes JavaScript erfolgen, wobei hier nur wenige Zeilen Code notwendig sind.

Je nach Ergebnis der Prüfung kann nun ganz flexibel darauf reagiert werden. Beispielsweise  kann eine der folgenden Möglichkeiten praktiziert werden:

  1. Erfassung der internen Besuche der Homepage in einer eigenen Matomo-Webseite
  2. Erfassung aller Besuche mit einer Eigenschaft, die angibt, ob intern oder extern (ähnlich wie bei oben genanntem Plugin)

Ansatz 1 gibt Ihnen die Möglichkeit völlig getrennt voneinander die Zugriffe von internen und externen Besuchern zu betrachten. Dadurch, dass es zwei Webseiten in Matomo sind, werden keinerlei Zugriffszahlen miteinander vermischt. Sie müssen nichts auseinanderrechnen. Nachteil ist, dass, wenn auch auf die internen Besuche bestimmte Auswertungen mit Segmenten oder Zielen angewendet werden sollen, diese immer doppelt in zwei Matomo-Webseiten anzulegen sind.

Interne und externe Besucher in zwei Webseiten innerhalb Matomo tracken

 

Bei Ansatz 1 muss das Trackingskript in der Homepage so angepasst werden, dass die Zugriffe je nachdem, ob intern oder extern, in verschiedene „Matomo-SiteID’s“ getrackt werden. Unten dazu mehr.

Ansatz 2 erfasst nach wie vor in einer Matomo-Webseite alle Besuche, aber diese Besuche enthalten eine Eigenschaft über die Herkunft. Bei dieser Eigenschaft können „intern“ und „extern“ die Werte sein, nach denen auch mit Segmenten ausgewertet werden kann. Denkbar sind noch weitere Unterscheidung bei internen Besuchern, z.B. bei verschiedenen Unternehmensstandorten, wenn dies aus dem Cookie hervorgeht.

Die Herkunft von Besuchern wird in Matomo als Besucher-Eigenschaft („Custom Dimension“) gespeichert.

 

Die „Herkunft“, wie oben in der Abbildung gezeigt, ist eine sogenannte Custom Dimension. Diese benutzerdefinierten Eigenschaften, die man als Webseiten-Betreiber selber in Matomo anlegen kann, werden entweder dem Besuche-Profil (unter Menüpunkt Besucher) oder den Aktionen von Besuchern (unter Menüpunkt Verhalten) zugeordnet. In unserem Fall handelt es sich um eine Eigenschaft, die als Besuchs-Eigenschaft zu verstehen ist.

Angelegt werden Custom Dimensions von Administratoren im Einstellungsbereich von Matomo. Nachfolgende Abbildung zeigt die entsprechende Stelle:

Benutzerdefinierte Eigenschaften („Custom Dimensions“) verwalten

 

Dieser Eigenschaft können nun während des Besuchs vom Matomo-Trackingskript oder dem Tag Manager entsprechende Werte (bspw. „Interner Besuch“ oder „Externer Besuch“) zugeordnet werden.

Mehr zu Custom Dimensions auf der Matomo-Seite.

Die konkrete Ausgestaltung eines solchen Ansatzes, d.h. die Verarbeitung des Cookies mit JavaScript in Matomo bzw. dem Tag Manager sowie die Webserver-Logik um einen Cookie anhand der IP-Adresse zu setzen, ist Teil meines Beratungsangebotes. Hierzu oder auch zu anderen Fragestellungen können Sie gerne mit mir Kontakt aufnehmen.

Kundenstimmen aus meinen Projekten


Meine Festpreis-Angebote zu Matomo

Kurz-Workshop
Dauer: 2h
Inhalt: Individuelle Fragen & Antworten zu Matomo, Matomo E-Commerce, Matomo Tag Manager inkl. Vorbereitung**
270 €*
Fortgeschrittenen-Workshop
Dauer: 4h
Inhalt: Tiefergehender Workshop zu Ihrer Matomo-Integration**, inkl. Vor- und Nachbereitung mit schriftlichen Lösungsempfehlungen für Sie und Ihre Dienstleister.
680 €*
Schulung
Dauer: 8h
Inhalt: Webanalyse mit Matomo (für Einsteiger). Ausführliche Schulungsunterlagen. Individuelle Schwerpunkte möglich. Details zu Schulungsinhalten.
990 €*

*zzgl. gesetzlicher MwSt. in Deutschland (19%). Preise und Termine beziehen sich auf „Online-Termine“. Vor-Ort-Termine auf Anfrage möglich.
**Fragen und Workshop-Inhalte werden im Vorfeld abgestimmt.
Individuelle Angebote sind darüberhinaus möglich. Stand 07/2022.

Jetzt anfragen


Ihnen hat mein Artikel gefallen?

Lassen Sie sich per Newsletter über meine neuen Blog-Beiträge zu Matomo informieren.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Abonnieren Sie meinen Newsletter zu Matomo

Ungefähr einmal monatlich versende ich eine E-Mail zu neuen Beiträgen und Themen rund um Matomo.